OpenVPN从1024位RSA到2048位RSA密钥的无缝迁移

Question

我工作的公司有几台OpenVPN服务器，供200多名员工使用。服务器是几年前使用默认easyrsa设置部署的，现在我们希望升级到更强的加密和身份验证。是否可以无缝地更改1024位CA，比如发出一个2048位CA并与旧CA签名？

Answer 1

从一些googling看来，您可以使用“堆叠证书”来实现您想要的结果。基本上是你

1. 生成新的CA
2. 使用堆叠certicates配置服务器，以便它同时接受旧的和新的CAs。
3. 将客户端证书替换为来自新CA的证书
4. 经过一段宽限期后，从服务器上删除旧的CA。

https://community.openvpn.net/openvpn/wiki/Using_证书_链子

您可能还希望切换到更强的DH参数(easy使用与RSA密钥相同大小的DH参数，所以如果您有1024位RSA，也可能有1024位dh)。Afaict您可以在不中断服务的情况下交换服务器上的DH参数。